(Art. 5a Abs. 1 und 8a octiesAbs. 11)
Die Netzbetreiber, Erzeuger, Speicherbetreiber und Dienstleister nach Artikel 5a werden abhängig vom Umfang der transportierten Elektrizität beziehungsweise der Leistung in folgende Kategorien eingeteilt:
| Kategorie A | Kategorie B | Kategorie C | |
|---|---|---|---|
| 1.1 Netzbetreiber mit einer in ihrem Netzgebiet transportierten Elektrizität von: 1.2 Dienstleister, die dauerhaft Anlagen von Netzbetreibern steuern können, sofern sie dadurch über ein einziges System Zugriff haben auf eine transportierte Elektrizität von: | ≥ 450 GWh/Jahr | ≥ 112 GWh/Jahr und < 450 GWh/Jahr | < 112 GWh/Jahr |
| 1.3 Erzeuger, mit Ausnahme der Kernkraftwerksbetreiber, und Speicherbetreiber, sofern sie Anlagen von insgesamt folgender Leistung betreiben und diese über ein einziges System steuern können: 1.4 Dienstleister, die dauerhaft Anlagen von Erzeugern, mit Ausnahme der Kernkraftwerksbetreiber, oder von Speicherbetreibern steuern können, sofern sie dadurch über ein einziges System Zugriff haben auf eine Leistung von: | ≥ 800 MW | ≥ 100 MW und < 800 MW | – |
Für die nachstehenden Aufgaben müssen, soweit diese anwendbar sind, mindestens die folgenden Werte gemäss Ziffer 3.1.1 des IKT-Minimalstandards2der entsprechenden Kategorie erreicht und muss deren Erreichung auf Verlangen der ElCom nachgewiesen werden (vgl. Art. 5a Abs. 3):
| Schutzniveau für Kategorie A | Schutzniveau für Kategorie B | Schutzniveau für Kategorie C | |
|---|---|---|---|
| 2.1 Identifizieren (ID = Identify) | |||
| 2.1.1 Inventar-Management (AM = Asset Management) | |||
| ID.AM-1 | 4 | 3 | 3 |
| ID.AM-2 | 4 | 3 | 2 |
| ID.AM-3 | 3 | 3 | 2 |
| ID.AM-4 | 3 | 3 | – |
| ID.AM-5 | 3 | 3 | – |
| ID.AM-6 | 4 | 4 | 3 |
| 2.1.2 Geschäftsumfeld (BE = Business Environment) | |||
| ID.BE-1 | 3 | 2 | – |
| ID.BE-2 | 3 | 2 | – |
| ID.BE-3 | 3 | 3 | – |
| ID.BE-4 | 3 | 3 | – |
| ID.BE-5 | 3 | 2 | – |
| 2.1.3 Vorgaben (GV = Governance) | |||
| ID.GV-1 | 4 | 4 | 3 |
| ID.GV-2 | 4 | 3 | 3 |
| ID.GV-3 | 4 | 4 | 3 |
| ID.GV-4 | 3 | 3 | – |
| 2.1.4 Risikoanalyse (RA = Risk Assessment) | |||
| ID.RA-1 | 3 | 2 | – |
| ID.RA-2 | 4 | 3 | – |
| ID.RA-3 | 4 | 3 | – |
| ID.RA-4 | 4 | 3 | – |
| ID.RA-5 | 3 | 2 | – |
| ID.RA-6 | 3 | 2 | – |
| 2.1.5 Risikomanagementstrategie (RM = Risk Management Strategy) | |||
| ID.RM-1 | 4 | 2 | – |
| ID.RM-2 | 3 | 3 | – |
| ID.RM-3 | 3 | 3 | – |
| 2.1.6 Lieferketten-Risikomanagement (SC = Supply Chain Riskmanagement) | |||
| ID.SC-1 | 3 | 3 | – |
| ID.SC-2 | 3 | 3 | – |
| ID.SC-3 | 3 | 3 | 3 |
| ID.SC-4 | 3 | 2 | – |
| ID.SC-5 | 3 | 2 | – |
| 2.2 Schützen (PR = Protect) | |||
| 2.2.1 Zugriffsmanagement und -steuerung (AC = Access Control) | |||
| PR.AC-1 | 4 | 3 | 2 |
| PR.AC-2 | 3 | 3 | 2 |
| PR.AC-3 | 4 | 4 | 3 |
| PR.AC-4 | 3 | 3 | 2 |
| PR.AC-5 | 4 | 3 | 2 |
| PR.AC-6 | 4 | 3 | 2 |
| PR.AC-7 | 3 | 3 | 2 |
| 2.2.2 Sensibilisierung und Ausbildung (AT = Awareness and Training) | |||
| PR.AT-1 | 4 | 3 | 3 |
| PR.AT-2 | 4 | 3 | 3 |
| PR.AT-3 | 3 | 3 | – |
| PR.AT-4 | 4 | 3 | 3 |
| PR.AT-5 | 3 | 3 | – |
| 2.2.3 Datensicherheit (DS = Data Security) | |||
| PR.DS-1 | 3 | 2 | – |
| PR.DS-2 | 4 | 4 | 2 |
| PR.DS-3 | 3 | 3 | – |
| PR.DS-4 | 3 | 2 | – |
| PR.DS-5 | 3 | 2 | – |
| PR.DS-6 | 3 | 2 | – |
| PR.DS-7 | 3 | 2 | – |
| PR.DS-8 | 3 | 2 | – |
| 2.2.4 Informationsschutzrichtlinien (IP = Information Protection Processes and Procedures) | |||
| PR.IP-1 | 3 | 2 | 2 |
| PR.IP-2 | 4 | 3 | – |
| PR.IP-3 | 3 | 3 | – |
| PR.IP-4 | 4 | 4 | 3 |
| PR.IP-5 | 4 | 4 | 3 |
| PR.IP-6 | 3 | 3 | – |
| PR.IP-7 | 3 | 2 | – |
| PR.IP-8 | 3 | 2 | – |
| PR.IP-9 | 4 | 2 | 2 |
| PR.IP-10 | 4 | 2 | – |
| PR.IP-11 | 3 | 2 | – |
| PR.IP-12 | 3 | 2 | – |
| 2.2.5 Unterhalt (MA = Maintenance) | |||
| PR.MA-1 | 3 | 3 | – |
| PR.MA-2 | 4 | 3 | 2 |
| 2.2.6 Einsatz von Schutztechnologie (PT = Protective Technology) | |||
| PR.PT-1 | 3 | 2 | – |
| PR.PT-2 | 4 | 4 | 3 |
| PR.PT-3 | 4 | 3 | – |
| PR.PT-4 | 4 | 3 | 3 |
| PR.PT-5 | 3 | 2 | – |
| 2.3 Erkennen (DE = Detect) | |||
| 2.3.1 Auffälligkeiten und Vorfälle (AE = Anomalies and Events) | |||
| DE.AE-1 | 3 | 2 | – |
| DE.AE-2 | 3 | 2 | – |
| DE.AE-3 | 3 | 2 | – |
| DE.AE-4 | 3 | 2 | – |
| DE.AE-5 | 3 | 2 | – |
| 2.3.2 Überwachung (CM = Security Continous Monitoring) | |||
| DE.CM-1 | 3 | 3 | 2 |
| DE.CM-2 | 3 | 3 | 2 |
| DE.CM-3 | 3 | 2 | – |
| DE.CM-4 | 3 | 3 | 2 |
| DE.CM-5 | 3 | 3 | 2 |
| DE.CM-6 | 3 | 2 | – |
| DE.CM-7 | 3 | 2 | 2 |
| DE.CM-8 | 3 | 2 | – |
| 2.3.3 Detektionsprozess (DP = Detection Processes) | |||
| DE.DP-1 | 4 | 4 | 2 |
| DE.DP-2 | 3 | 2 | – |
| DE.DP-3 | 3 | 3 | – |
| DE.DP-4 | 3 | 2 | – |
| DE.DP-5 | 3 | 2 | – |
| 2.4 Reagieren (RS = Respond) | |||
| 2.4.1 Reaktionsplanung (RP = Response Planning) | |||
| RS.RP-1 | 3 | 3 | 2 |
| 2.4.2 Kommunikation (CO = Communications) | |||
| RS.CO-1 | 3 | 3 | 2 |
| RS.CO-2 | 4 | 4 | 2 |
| RS.CO-3 | 3 | 2 | – |
| RS.CO-4 | 3 | 2 | – |
| RS.CO-5 | 3 | 2 | – |
| 2.4.3 Analyse (AN = Analysis) | |||
| RS.AN-1 | 3 | 3 | – |
| RS.AN-2 | 3 | 3 | – |
| RS.AN-3 | 2 | 2 | – |
| RS.AN-4 | 2 | 2 | – |
| RS.AN-5 | 2 | 2 | – |
| 2.4.4 Schadensminderung (MI = Mitigation) | |||
| RS.MI-1 | 3 | 3 | 2 |
| RS.MI-2 | 3 | 2 | 2 |
| RS.MI-3 | 3 | 2 | 2 |
| 2.4.5 Verbesserungen (IM = Improvements) | |||
| RS.IM-1 | 3 | 3 | – |
| RS.IM-2 | 3 | 3 | – |
| 2.5 Wiederherstellen (RC = Recover) | |||
| 2.5.1 Wiederherstellungsplanung (RP = Recovery Planning) | |||
| RC.RP-1 | 3 | 3 | 2 |
| 2.5.2 Verbesserungen (IM = Improvements) | |||
| RC.IM-1 | 3 | 2 | – |
| RC.IM-2 | 3 | 2 | – |
| 2.5.3 Kommunikation (CO = Communications) | |||
| RC.CO-1 | 2 | 1 | – |
| RC.CO-2 | 2 | 1 | – |
| RC.CO-3 | 2 | 1 | – |
0 commentaries